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Abstract not available for DE 10124800 (A1) 
Abstract of corresponding document: WO 02095506 (A2) 
The invention relates to a process automation 
system wherein process appliances (1 to 6) carry out 
pre-determined functions in terms of the process 
automation and interchange functional and/or 
appliance-related data (23, 24) with the process 
automation system, at least one part of the data (23, 
24) being interchanged in an encoded manner. 
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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(3) Prozessautomatisierungssystem und Prozessgerat fur ein Prozessautomatisierungssystem 



(57) In einem Prozessautomatisierungssystem, in dem Pro- 
zessgerate (1 bis 6) vorgegebene Funktionen im Rahmen 
der Prozessautomatisierung ausfuhren und dabei mit 
dem Prozessautomatisierungssystem funktions- und/ 
oder geraterelevante Daten (23, 24) austauschen, wird zu- 
mindest ein Teil der Daten (23, 24) verschliisselt ausge- 
tauscht. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Prozessautomatisie- 
rungssystem und ein Prozessgerat fur ein Prozessautomati- 
sierungs system. 5 
[0002] In zunehmendem MaBe ergibt sich die Forderung 
nach cincr Ubcrtragung von Datcn zwischen cincm Prozess- 
automatisierungssystem oder Teilen oder Komponenten da- 
von und externen Stellen. Beispie[e dafiir sind Fernpro- 
grammierung, Fernparametrierung, Femwartung oder Fern- 10 
diagnose. So ist es aus der DE 198 48 618A1 bekannt, zur 
Femwartung und/oder Diagnose von der externen S telle an 
das Prozessautomatisierungssystem zu ubertragende Daten, 
z. B. ein Steuerbefehl, in eine E-Mail zu verpacken, diese an 
das Prozessautomatisierungssystem zu adressieren und dort- 15 
hin abzusenden. Innerhalb des Prozessautomatisierungssy- 
stems wird die E-Mail von dem Adressaten empfangen, der 
den Steuerbefehl durch Decodieren extrahiert und an die 
Anwendung, fur die der Steuerbefehl bestimmt ist, weiter- 
leitet. Umgekehrt konnen in gleicher Weise Daten von dem 20 
Prozessautomatisierungssystem an externe Stellen ubermit- 
telt werden. Spezielle Datenverbindungen zwischen dem 
Prozessautomatisierungssystem und den externen Stellen 
sind dazu nicht erforderlich, weil standardmaBige Daten- 
iibertragungssysteme (globale und/oder lokale Datennetze, 25 
wie z. B. Internet bzw. Intranet) in Verbindung mit einem 
elektronischen Schutzwall (Firewall) um das Prozessauto- 
matisierungssystem verwendet werden konnen, wobei der 
elektronische Schutzwall fur die E-Mails durchlassig ist 
(sog. E-Mail-Tunneling). 30 
[0003] Zur Erhohung der Sicherheit gegen ein unerlaubtes 
Eindringen in den Schutzwall des Prozessautomatisierungs- 
sy stems konnen die in der E-Mail verpackten Daten ver- 
schliisselt und anschlieBend beim Extrahieren aus der E- 
Mail wieder entschliisselt werden, bevor sie weitergeleitet 35 
werden. Dabei erfolgt die Verschliisselung der an die ex- 
terne S telle zu iibermittelnden Daten bzw. die Entschlusse- 
lung der von der externen Stelle empfangenen Daten inner- 
halb des Prozessautomatisierungs systems in einer einzigen 
Verschliisselungs- bzw. Entschlusselungsvorrichtung. Es ist 40 
daher nicht ohne weiteres moglich, einen ausgewahlten Teil 
der Daten, z. B. sicherheitsrelevante Daten, verschliisselt 
und die ubrigen Daten un verschliisselt zwischen dem Pro- 
zessautomatisierungssystem und der externen Stelle auszu- 
tauschen. Statt dessen werden, soweit eine Verschlusselung 45 
vorgesehen ist, alle iiber den elektronischen Schutzwall aus- 
zutauschenden Daten pauschal verschliisselt, was mit einem 
entsprechenden Aufwand und einer Reduzierung der Daten- 
ubertragungsgeschwindigkeit verbunden ist. Ferner ist der 
Austausch der verschlusselten Daten zwischen dem Pro- 50 
zessautomatisierungssystem und den externen Stellen auf 
den Weg iiber die Verschliisselungs- und Entschlusselungs- 
vorrichtung in dem Prozessautomatisierungssystem be- 
schrankt, so dass es nicht moglich ist, verschliisselte Daten 
an unterschiedlichen Orten innerhalb des Prozessautomati- 55 
sierungssystems zu kommunizieren. SchlieBlich sind zu 
sendende Daten vor ihrer Verschlusselung und empfangene 
Daten nach ihrer Entschliisselung innerhalb des Prozessau- 
tomati sierungssystems manipulicrbar. 

[0004] Die Verschlusselung vertraulicher Daten vor ihrer 60 
Ubcrtragung an einen Empfanger ist allgemein bekannt. Bei 
dem so genannten offentlichen Verschliisselungsverfahren 
verwendet der Sender einen offentlichen Schlussel des be- 
rechtigten Empfangers zur Verschlusselung der Daten, so 
dass nur dieser die Daten mit seinem eigenen privaten 65 
Schlussel entschliisseln kann. Die Authentifizierung des 
Senders kann durch Signieren der Daten erfolgen. Dazu ver- 
schliisselt der Sender die Daten mit seinem eigenen privaten 
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Schlussel, wahrend der Empfanger zur Entschliisselung der 
Daten den offentlichen Schlussel des Senders verwendet. 
Mit offentlichen Schliisseln verschliisselte Daten sind nicht 
notwendigerweise authentisch, wahrend mit privaten 
Schliisseln signierte Daten nicht vertraulich sind. Zur Her- 
stellung von Vertraulichkeit und Authentizitat konnen daher 
Vcrschliissclung und Signicrung kombinicrt werden, wozu 
der Sender die Daten zunachst mit dem eigenen privaten 
Schlussel und anschlieBend mit dem offentlichen Schlussel 
des Empfangers verschliisselt. Um schlieBlich auch noch die 
Integritat, d. h. die Unverfalschtheit, der iibertragenen Daten 
zu gewahrleisten, kann der Sender aus den Daten einen 
Priifcode bestimmen, der signiert, d. h. mit dem sendereige- 
nen privaten Schlussel verschliisselt, an den Empfanger 
iibertragen wird. Der Empfanger entschliisselt den Priifcode 
mit dem offentlichen Schlussel des Senders und vergleicht 
den so entschliisselten Priifcode mit dem aus den empfange- 
nen Daten berechneten Priifcode; wenn beide Priifcodes 
gleich sind, ist die Integritat der Daten gesichert. 
[0005] Der Erfindung liegt die Aufgabe zugrunde, eine 
flexible und zugleich sichere Handhabung ausgewahlter 
wichtiger Daten eines Prozessautomatisierungssystems zu 
ermoglichen. 

[0006] GemaB der Erfindung wird die Aufgabe durch das 
Prozessautomatisierungssystem nach Anspruch 1 bzw. das 
Prozessgerat nach Anspruch 5 gelost. 

[0007] Vorteilhafte Weiterbildungen des erfindungsgema- 
Ben Prozessautomatisierungssystems bzw. Prozessgerats 
sind in den Unteranspriichen angegeben. 
[0008] In dem erfindungsgemaBen Prozessautomatisie- 
rungssystem fiihren Prozessgerate vorgegebene Funktionen 
im Rahmen der Prozessautomatisierung aus und tauschen 
dabei mit dem Prozessautomatisierungssystem funktions- 
und/oder geraterelevante Daten aus, wobei zumindest ein 
Teil der Daten verschliisselt ausgetauscht wird. 
[0009] Das erfindung sgemaBe Prozessgerat fiir ein Pro- 
zessautomatisierungssystem enthalt eine Funktionseinrich- 
tung zur Ausfiihrung vorgegebener Funktionen im Rahmen 
der Prozessautomatisierung und eine mit der Funktionsein- 
richtung verbundene und an das Prozessautomatisierungssy- 
stem anschlieBbare Kommunikationseinrichtung zum Aus- 
tausch funktions- und/oder geraterelevanter Daten mit dem 
Prozessautomatisierungssystem, wobei die Kommunikati- 
onseinrichtung den Austausch zumindest eines Teils der Da- 
ten verschliisselt durchfuhrende Mittel aufweist. 
[0010] Die Verschlusselung bzw. Entschliisselung von 
Daten erfolgt in den Prozessgeraten, also den Sendern und 
Empfangern der Daten, wobei die verschliisselten Daten in- 
nerhalb des Prozessautomatisierungssystems auf dieselbe 
Weise wie un verschliisselte Daten kommuniziert werden. 
Unter Prozessgeraten sind Feldgerate, Wartengerate und 
sonstige Endgerate zu verstehen, also beispiels weise Mess- 
umformer, Aktoren, Antriebe, Analysengerate, Steuerungen 
und Regler. So sind z. B. Messumformer Sender von Mess- 
daten und Empfanger von Parametrierungsdaten, die zu ih- 
rer Pararnetrierung dienen. In dem Umfange, in dem diese 
Daten als sicherungsbediirftig angesehen werden, werden 
sie iiber die Kommunikationseinrichtung des Messumfor- 
mcrs verschliisselt mit dem Prozessautomatisierungssystem 
ausgetauscht; andere, nicht als sicherungsbediirftig einge- 
stufte Daten werden unverschliisselt ausgetauscht. Je nach 
Verschliisselung sind die verschlusselten Daten gegen Mani- 
pulation geschiitzt und/oder konnen nur von einem berech- 
tigten Empfanger empfangen werden, wobei zusatzlich der 
Sender authentifizierbar ist. Sender und Empfanger von Da- 
ten konnen gleichermaBen die Prozessgerate innerhalb des 
Prozessautomatisierungssystems wie auch externe Stellen 
sein, die beliebig an das Prozessautomatisierungssystem an- 
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gekoppelt werden konnen. 

[0011] In der Hardware, durch Programmierung oder 
durch ggf. verschliisselt durchzufiihrende Parametrierung 
der Prozessgerate ist festgelegt, welche Daten als siche- 
rungsbediirftig gelten und verschliisselt auszutauschen sind. 5 
So werden sicherungsbediirftige Sendedaten automatisch 
verschliisselt, bevor sic abgesandt werden, und empfangene 
Daten konnen nur nach Entschliisselung in dem Prozessge- 
rat weiterverarbeitet werden. Dabei kann ein Teil der Daten 
sowohl unverschliisselt als auch parallel dazu verschliisselt 10 
ausgetauscht werden. Ein Beispiel hierfiir sind Messdaten, 
die sowohl in dem Prozessautomatisierungs system im Rah- 
men der Steuerung und Regelung unverschliisselt weiterver- 
arbeitet werden als auch bei eichpflichtigen Applikationen 
oder fur amtliche Uberwachungszwecke verwendet und 15 
dazu verschliisselt werden. So konnen z. B. eichfahige Wa- 
gedaten von Industrie waagen verschliisselt an einen exter- 
nen Datenspeicher oder eine Anzeige ausgegeben werden, 
ohne dass der Dateniibertragungsweg gekapselt werden 
muss, und gleichzeitig mit den unverschlusseiten Wageda- 20 
ten beispielsweise ein Abfiillvorgang gesteuert werden. Da 
hier z. B. die verschlusselten Daten im Wesentlichen fur Re- 
gistrierungszwecke verwendet werden, kann vorgesehen 
werden, dass die verschlusselten Daten gegeniiber den un- 
verschliisselten Daten nachrangig, d. h. mit niedrigerer Prio- 25 
ritat, kommuniziert werden, so dass die Steuerung und Re- 
gelung mit den unverschlusseiten Daten nicht beeintrachtigt 
wird. Dabei kann insbesondere vorgesehen werden, dass 
verschliisselte Daten zunachst, ggf. mit Zeitstempeln verse- 
hen, gesammelt werden, bevor sie zu einem spateren Zeit- 30 
punkt beispielsweise in einem Datenpaket gebiindelt kom- 
muniziert werden. 

[0012] Zur weiteren Erlauterung der Erfindung wird im 
Folgenden auf die Figuren der Zeichnung Bezug genom- 
men; im Einzelnen zeigen 35 
[0013] Fig. 1 ein Ausfiihrungsbeispiel des erfindungsge- 
maBen Prozessautomatisierungssystems und 
[0014] Fig, 2 ein Ausfiihrungsbeispiel des erfindungsge- 
maBen Prozessgerats. 

[0015] Fig, 1 zeigt in schematischer Darstellung ein Pro- 40 
zessautomatisierungssystem mit einer Vielzahl von Prozess- 
geraten, die vorgegebene Funktionen im Rahmen der Pro- 
zessautomatisierung ausfiihren und dabei funktions- und/ 
oder geraterelevante Daten mit dem Prozessautomatisie- 
rungssystem austauschen. Unter Prozessgeraten sind hier 45 
Datenendgerate, also Sender und Empfanger von Daten zu 
verstehen. Insbesondere gehoren dazu Feld- und Wartenge- 
rate, z. B. Messumformer 1 fur Druck, Ternperatur, Durch- 
fluss, Fiillstand usw., Analysengerate 2 fur Gas- oder Fliis- 
sigkeitsanalyse, Wagesysteme 3, Stellungsregler fur Ventile 50 
und sonstige dezentrale Regler 4, Stellantriebe 5, Registrier- 
und Anzeigegerate 6. Zum Austausch der Daten innerhalb 
des Prozessautomatisierungssystems sind die Prozessgerate 
im dezentralen Peripheriebereich zusammen mit dezentraler 
Steuerung und Regelung 7 und Bedienung und Beobachtung 55 
8 iiber Feldbusse 9 oder andere Kommunikationswege mit- 
einander verbunden, wobei unterschiedliche Feldbusse 9 
iiber Buskoppler 10 miteinander verbunden sind. Die Feld- 
busse 9 sind wiedcrum iiber Stcucrcinrichtungcn 11 an ei- 
nem zentralen Anlagenbus 12 angebunden, an dem auch 60 
eine zentrale Steuerung und Regelung 13 und Bedienung 
und Beobachtung 14 angeschlossen ist. Der Anlagenbus 12 
ist iiber eine Koppeleinrichtung 15 mit einem globalen 
Kommunikationsnetz 16, z. B. Internet, verbunden, um ei- 
nen Datenaustausch mit externen Stellen 17 beispielsweise 65 
zur Fernwartung, -diagnose, -parametrierung, -iiberwa- 
chung usw. des Prozessautomatisierungssystems bzw. ein- 
zelner Prozessgerate zu ermoglichen. SchlieBlich konnen 
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weitere externe Stellen 18, z. B. Programmier-, Diagnose- 
oder Servicegerate an unterschiedlichen Punkten des Pro- 
zessautomatisierungssystems angekoppelt werden. 
[0016] Vorgegebene sicherungsbediirftige Daten des Pro- 
zessautomatisierungssystems werden verschliisselt ausge- 
tauscht, wobei je nach Verschliisselung sichergestellt ist, 
dass dicsc Daten auf dem Wcgc von dem Sender zu dem 
Empfanger oder den Empfangern gegen Manipulation ge- 
schiitzt sind und/oder nur von einem berechtigten Empfan- 
ger empfangen werden konnen, wobei zusatzlich der Sender 
authentifizierbar ist. Die Verschliisselung bzw. Entschliisse- 
lung erfolgt in den Datenendgeraten, also den Sendern bzw. 
Empfangern, hier den Prozessgeraten bzw. externen Stellen, 
wobei die verschlusselten Daten innerhalb des Prozessauto- 
matisierungssystems genauso wie unverschliisselte Daten 
iibertragen werden. 

[0017] Fig. 2 zeigt ein Prozessgerat, hier z. B . einen Mess- 
umformer 1 mit einer Funktionseinrichtung 19 zur Ausfiih- 
rung der Messfunktion und mit einer mit der Funktionsein- 
richtung 19 verbundenen und an das Prozessautomatisie- 
rungssystem, hier den Feldbus 9, anschlieBbaren Kommuni- 
kationseinrichtung 20 zum Austausch funktions- und/oder 
geraterelevanter Daten mit dem Prozessautomatisierungs sy- 
stem. Die Funktionseinrichtung 19 umfasst einen Sensor 21 
und eine Messwerterfassung und -berechnung 22, die Mess- 
daten, Diagnosedaten und sonstige gerate- oder funktions- 
spezifische Daten 23 generiert und Befehls-, Parametrier- 
und sonstige ihr zugefuhrte Daten 24 verarbeitet. Diese Sen- 
dedaten 23 und Empfangsdaten 24 werden iiber die Kom- 
munikationseinrichtung 20 des Messumformers 1 mit dem 
Prozessautomatisierungssystem ausgetauscht. Durch Hard- 
ware vers chaltung oder Programmierung ist festgelegt, wel- 
che der Sendedaten 23 in einer Verschliisselungsvorrichtung 
25 verschliisselt werden. Bei Empfangsdaten 24 erkennt die 
Kommunikationseinrichtung 20, welche der Daten ver- 
schliisselt sind und entschliisselt diese in einer Entschliissel- 
ung svorrichtung 26. Die Verschliisselung bzw. Entschliisse- 
lung der Daten 23 und 24 erfolgt hier nach dem offentlichen 
Verschlusselungsverfahren. Dazu enthalt jedes Prozessge- 
rat, hier also der Messumformer 1, einen eigenen privaten 
Schliissel sowie einen dazu korrespondierenden offentlichen 
Schliissel, wobei die Schliissel in dem Messumformer 1 hin- 
terlegt oder von diesem selbst generiert werden. Im Unter- 
schied zu dem unzuganglich abgespeicherten privaten 
Schliissel wird der offentliche Schliissel bei der Einbindung 
des Messumformers 1 in das Prozessautomatisierungssy- 
stem, z. B. bei der Inbetriebnahme, einer zentralen Schliis- 
selverwaltung 27 (Fig. 1) mitgeteilt, fur die ein separates 
Gerat vorgesehen sein kann oder die in einem bereits vor- 
handenen Gerat, z. B. einer speicherprogrammierbaren 
Steuerung, des Prozessautomatisierungssystems implemen- 
tiert ist. Externe Stellen 18, die mit Prozessgeraten Daten 
austauschen wollen, melden sich zuvor automatisch bei der 
Schliisselverwaltung 27 an und hinterlegen dort nach Uber- 
priifung ihrer Identitat ihren jeweiligen offentlichen Schliis- 
sel. Die zentrale Schliisselverwaltung 27 gewahrleistet die 
Authentizitat der verwalteten offentlichen Schliissel, indem 
diese jeweils mit dem privaten Schliissel der Schliisselver- 
waltung 27 signicrt werden, so dass mit Hilfc des offentli- 
chen Schliissels der Schliisselverwaltung 27 jederzeit die 
Authentizitat der offentlichen Schliissel gepriift werden 
kann. 

[0018] Ist z. B. vorgesehen, dass die Einstellung eines be- 
stimmten Parameters in einem Prozessgerat, z. B. 4, nur 
durch eine autorisierte externe Stelle 18 moglich sein soli, 
so wird der an das Prozessgerat 4 zu iibertragende Einstell- 
wert in der externen Stelle 18 derart verschliisselt, dass die 
Integritat des Einstellwerts beim Empfang durch das Pro- 
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zessgerat 4 sichergestellt ist und dass femer das Prozessge- 
rat 4 die Identitat der externen S telle 18 und damit deren Be- 
rechtigung zur Parametereinstellung feststellen kann. 
[0019] Es kann vorgesehen sein, dass ein und dieselben 
Daten, hier z. B. die Messdaten des Messumformers 1, an 5 
bestimmte Empfanger, z. B. ein eichpflichtiges Registrier- 
odcr Anzcigcgcrat, verschliisselt und an andcrc Empfanger, 
z. B. die Messdaten weiterverarbeitende Regler, un ver- 
schliisselt iibertragen werden. In der Regel werden nur die- 
jenigen Daten verschliisselt Iibertragen, die sicherungsbe- 10 
diirftig sind; alle ilbrigen Daten, insbesondere die zur Pro- 
zesssteuerung und -regelung dienenden Daten, werden iiber- 
wiegend unverschliisselt iibertragen. Um die Prozesssteue- 
rung und -regelung nicht zu beeintrachtigen, werden die un- 
verschliisselten Daten mit hoherer Prioritat als die ver- 15 
schliisselten Daten kommuniziert, wozu die verschliisselten 
bzw. zu verschliisselnden Daten zunachst in einem Speicher 
28 des Prozessgerats 1 gesarnmelt werden konnen. 
[0020] Die hier beschriebene Daten verschliisselung er- 
moglicht also insbesondere eine falschungssichere Fernpa- 20 
rametrierung von Prozessgeraten oder einen autorisierten 
Service von beliebigen Stellen aus, eine sichere amtliche 
Uberwachung von Messwerten oder Prozesszustanden, eine 
falschungssichere Ubertragung von sicherheitsrelevanten 
und/oder vertraulichen Daten, Diagnosedaten oder Anlagen- 25 
parametern, wie z. B. Rezepturen, die Ubertragung von 
eichfahigen Daten ohne das Erfordernis einer Kapselung der 
Ubertragungswege, uvm. 

Patentanspriiche 30 

1. Prozessautomatisierungssystern, in dem Prozessge- 
rate (1 bis 6) vorgegebene Funktionen im Rahmen der 
Prozessautomatisierung ausfiihren und dabei mit dem 
Prozessautomatisierungssystern funktions- und/oder 35 
geraterelevante Daten (23, 24) austauschen, wobei zu- 
mindest ein Teil der Daten (23, 24) verschliisselt ausge- 
tauscht wird. 

2. Prozessautomatisierungssystern nach Anspruch 1, 
dadurch gekennzeichnet, dass zumindest ein Teil der 40 
Daten (23, 24) verschliisselt und parallel dazu unver- 
schliisselt ausgetauscht wird. 

3. Prozessautomatisierungssystern nach Anspruch 1 
oder 2, dadurch gekennzeichnet, dass verschliisselte 
Daten gegeniiber unverschliisselten Daten nachrangig 45 
ausgetauscht werden. 

4. Prozessautomatisierungssystern nach Anspruch 3, 
dadurch gekennzeichnet, dass verschliisselte Daten zu- 
nachst in einem Speicher (28) des Prozessgerats (1) ge- 
sarnmelt und danach ausgetauscht werden. 50 

5. Prozessgerat (1) fur ein Prozessautomatisierungssy- 
stern mit einer Funktionseinrichtung (19) zur Ausfiih- 
rung vorgegebener Funktionen im Rahmen der Pro- 
zessautomatisierung und mit einer mit der Funktions- 
einrichtung (19) verbundenen und an das Prozessauto- 55 
matisierungssystem anschlieBbaren Kommunikations- 
einrichtung (20) zum Austausch funktions- und/oder 
geraterelevanter Daten (23, 24) mit dem Prozessauto- 
matisierungssystern, wobei die Kommunikationscin- 
richtung (20) den Austausch zumindest eines Teils der 60 
Daten (23, 24) verschliisselt durchfiihrende Mittel (25, 
26) aufweist. 
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